出典: GreenOak via Shutterstock
米国沿岸警備隊の港湾、船舶、および洋上施設向けの初の強制的なサイバーセキュリティフレームワークが発効し、20年間の自主的遵守が終了し、事業者には2027年の期限が迫っています。
この規制は、2002年海上輸送セキュリティ法の対象となるあらゆる米国籍船舶または海事施設に影響し、サイバーセキュリティ計画の策定・維持、サイバーセキュリティ責任者(CySO)の指定、年1回の評価の実施、および情報技術・運用技術労働者へのサイバーセキュリティ業務トレーニングの実施を要求しています。
これらの規制は、全米電気信頼性評議会の重要インフラ保護(NERC-CIP)計画など、他の業界の要件に類似しており、発電・配電エコシステム全体のサイバーセキュリティを向上させています。これは産業サイバーセキュリティプロバイダーのDragosの主席産業コンサルタント、エラン・アルベイが述べています。
「規制は役に立っていますが、万能な解決策ではありません。脅威グループは非常に狡猾だからです」と彼は言います。「ただし、これは日和見主義者や悪意のあるハッカー、ランサムウェア集団が見つけて『ああ、こちらは開放されている。攻撃しよう』と考える低レベルの多くの脆弱性を排除します」
このサイバーセキュリティ規制は、海事輸送業界が重大なサイバー攻撃を受けたのと同時期に発効しています。これには、AP Moller-Maersk社の海運を停止させたNotPetya攻撃や、船舶が座礁を招いた全地球測位システム攻撃が含まれています。国際基準は既に遠洋航海および外国籍船に対して同様のサイバーセキュリティ対策を要求しています。石油・ガス生産国の中でも、ノルウェーなどは船舶および洋上施設のサイバーセキュリティ強化に向けた決定的な措置を講じています。
2025年、米国沿岸警備隊は2002年海上輸送セキュリティ法の要件を拡大し、2025年7月からのサイバーセキュリティインシデントの強制報告と、今年の1月までにすべてのIT・OT労働者を対象とした法律に基づく役割と責任に関するサイバーセキュリティトレーニングを開始しました。この規則は、9月11日後のMTSAが物理的な港湾セキュリティをどのように再構築したかを反映しており、ワシントンが海事サイバーセキュリティの強化を目指していることを示しています。これはDragosのアルベイの分析で述べられています。
次の期限は7月で、すべての米国籍船舶または大陸棚外(OCS)施設(石油採掘施設を考えてください)がサイバーセキュリティ評価を完了し、IT網とOT網の間にセグメンテーションを実施するサイバーセキュリティ計画を作成する必要があります。
新しい役割: CySO
MTSAの基本原則は、船舶、石油採掘施設、その他の海事施設がセキュリティを実施し、その供給業者とベンダーも同様の要件に従うことを要求するということです。企業は、既に実施されていない場合、他の規制対象産業にも同様の要件が拡大されることを予想すべきです。これはクラウドソーシング型サイバーセキュリティ企業Bugcrowdの最高戦略・信頼責任者トレイ・フォードの見解です。
「大規模な産業サプライヤーは、これを規制対象のあらゆる分野全体で来たるべきことの前触れとして捉え、期限がそれを強制する前に今から説明責任をプログラム設計に組み込み始める必要があります」と彼は述べます。「ICS/SCADA領域は注視する必要があります。規制当局はすぐにその方向に目を向けると確信しています」
新規制がもたらした最も重要な変化の一つは、すべての米国籍船舶、施設、または大陸棚外(OCS)施設がサイバーセキュリティ責任者(CySO)を指定し、IT基盤とOT基盤の両方のサイバーセキュリティに責任を持つ必要があるということです。これはMTSAの下での施設セキュリティ責任者などの既存の役割を反映しています。
CySO職の職務範囲は、従来の最高情報セキュリティ責任者(CISO)の職務とは異なるとDragosのアルベイは述べています。
「CISOは日々の技術的なIT情報に関するものです」と彼は述べます。「私にとって、サイバーセキュリティ責任者は規制責任者により近いのです。なぜなら、規制に準拠していることを確保する責任があるだけでなく、インシデントや報告が必要な事態が発生した場合、その報告についても責任を持つからです」
最大の課題が控えている
2027年7月16日までに完了する必要があるMTSAサイバーセキュリティ展開の最終段階が最も困難です。ネットワークセグメンテーションです。陸上の企業でさえこのサイバーセキュリティ目標の達成に苦労しています。2025年の調査で、ネットワーク大手シスコが発見したのは、組織の94%がセグメンテーションの問題に直面したということです。これは環境の複雑さ、可視性の欠如、および正当な情報フローの特定の困難さによるものです。
残念ながら、簡単な解決策はありません。シスコの製品管理シニアディレクターであるアメル・アクテルは調査結果の分析で述べています。
「購入可能な『ボックス』や単一製品がありません。また、すべてのユースケースに対してベストプラクティスとしてモデル化できる単一のアプローチもありません」と彼は述べました。「代わりに、組織は複数のセグメンテーション方法に依存しなければなりません。残念ながら、この明確性の欠如は既に複雑な状況をさらに複雑にする可能性があります。その結果、数多くのセグメンテーションプロジェクトが失敗します」
Dragosのアルベイは、企業がおよそ1年半でネットワークセグメンテーションを完了することが期待されており、このタイムラインは、資産インベントリやアーキテクチャ設計などの複数の前提条件ステップを考えると、規制対象企業からの反発を招く可能性のある厳しいものだと考えていることを指摘しています。
「準拠しているからといって、セキュアとは限りません」と彼は述べます。
これはMTSAサイバーセキュリティ要件が施設と企業の準備を支援できる場所です。Bugcrowdのフォードは述べています。防御、トレーニング、新しい役割の先にあるのは、インシデント発生時に何が起こるかに焦点を当てた要件です。ネットワークセグメンテーションは、攻撃者による横展開を遅くするのに役立ちます。定期的な評価は、防御や可視性の失敗箇所を検出でき、最初から安全な設計を要求することは、組織が目的地に向かって動いていることを意味します。
これはすべての企業が心に留めるべき教訓です。フォードは述べています。
「MTSAが一つ基本的なポイントを正しく捉えているのは、ほとんどのエンタープライズプログラムが依然として抵抗している『失敗の前提』です」と彼は述べます。「質問をシステムが侵害可能かではなく、敵が行動する前にあなたが認識するかという観点で捉えるのです」
最新のダークリーディング機密ポッドキャストをお見逃しなく。セキュリティボスがAIに全力投球: その理由はここにでは、RedditのCISO フレデリック・リーとOmdia分析家デイブ・グルーバーが、SOCでのAIと機械学習、成功した展開の状況、およびAIセキュリティ製品の将来について論じています。今すぐお聴きください!
翻訳元: https://www.darkreading.com/cybersecurity-operations/coast-guards-cybersecurity-rules-lessons-cisos
